Werknemers die logische bommen plaatsen, systeembeheerders die glasvezelnetwerken gijzelen en managers die er met klantendatabases vandoor gaan, de dreiging van insiders is altijd al groot geweest, maar zeker gezien de economisch situatie is het iets waar bedrijven rekening mee moeten houden. Neem bijvoorbeeld de zaak van UNIX systeembeheerder Rajendrasinh Makwana, werkzaam voor hypotheekverstrekker Fannie Mae. Voor zijn ontslag plaatste hij een logische bom op het netwerk, die alle servers zou uitschakelen, waardoor het bedrijf een week lang uit de lucht zou zijn. Per toeval ontdekte een programmeur het kwaadaardige script en werd Makwana gearresteerd.

"Insiders zijn een blijvend probleem. Ze hebben toegang en kennen het systeem, de beveiliging en zwakke punten", aldus beveiligingsgoeroe Bruce Schneier. Daarnaast hebben insiders de gelegenheid. Denk maar aan bankovervallen, bedrijfsfraude en treinovervallen. Bij de grootste misdrijven zijn vaak insiders betrokken. "Insiders hebben sterke motieven, die door de slechte economie en toenemend aantal ontslagen alleen maar toenemen."

Vertrouwen
Volgens Schneier is het onmogelijk om een systeem te ontwikkelen zonder mensen die je kunt vertrouwen. Werknemers hebben toegang tot systemen en informatie nodig om hun werk uit te voeren. Vertrouwen speelt een essentiële rol in bijna alles wat we doen. "Banken, vliegvelden en gevangenissen kunnen zonder betrouwbare mensen niet werken." Het vervangen van mensen door computers lost het probleem niet, het verplaatst het alleen en maakt het complexer." Programmeurs, ontwerpers, beheerders en installateurs moet je allemaal vertrouwen."

Het probleem van insiders heeft niets met computers te maken en is veel ouder, wat ook geldt voor de oplossing van het probleem. Schneier beschrijf vijf technieken om met mensen en vertrouwen om te gaan.

1. Beperk het aantal mensen dat je vertrouwt. Hoe minder mensen adminrechten hebben of de combinatie van een kluis kennen, des te veiliger is het systeem.
   
2. Zorg dat mensen die je vertrouwt ook daadwerkelijk te vertrouwen zijn. Dit is het idee achter screenings, leugendetectors en persoonlijkheidstesten.
   
3. Beperk de hoeveelheid vertrouwen die elk persoon krijgt. Hiermee kun je de schade die iemand kan veroorzaken beperken in het geval hij niet is te vertrouwen. Denk bijvoorbeeld aan wachtwoorden en sleutels die alleen toegang tot de eigen kamer of account geven.
   
4. Geef mensen overlappende verantwoordelijkheden en vertrouwen. Dit is wat security professionals "defense in depth" noemen en waarom twee mensen met verschillende sleutels kernraketten kunnen afvuren, maar ook zaken als een dubbel boekhouden of bij de bioscoop waar één iemand de kaartjes verkoopt en een ander die verscheurt. Dit maakt het lastiger om fraude te plegen.
   
5. Detecteer misbruik van vertrouwen en vervolg de schuldige. De vier eerder genoemde technieken werken alleen tot een bepaalde hoogte. Te vertrouwen personeel kan het systeem in de meeste gevallen omzeilen. In het geval van een incident wordt de dader juridisch vervolgd en openbaar gemaakt, wat een afschrikwekkend effect heeft en het algehele niveau van beveiliging in de maatschappij laat toenemen. Daarom zijn audits zo belangrijk.

Schneier merkt op dat de technieken niet alleen tegen fraude en sabotage werken, maar ook tegen gewone problemen beschermen, zoals het maken van fouten. "Betrouwbare mensen zijn niet perfect, ze kunnen ook per ongeluk schade veroorzaken, een fout maken of zijn via social engineering te misleiden."

Ondanks alle verhalen komen incidenten door insiders zelden voor, waarschuwt Schneier. "Het is belangrijk om te weten dat de meeste mensen eerlijk en eervol zijn. Beveiliging is ontworpen om tegen de oneerlijke minderheid bescherming te bieden. En vaak zijn het kleine dingen, zoals het uitschakelen van iemands toegang na ontslag, die veel uit kunnen maken."